Diese Seite wurde von der Cloud Translation API übersetzt.

Diagramm mit Abfrageergebnissen mit Loganalysen erstellen

In diesem Dokument wird beschrieben, wie Sie die Abfrageergebnisse in Loganalysen grafisch darstellen lassen, um Muster und Trends in Ihren Logdaten zu identifizieren. Mit Loganalysen können Sie Logs durchsuchen und aggregieren, um mithilfe von SQL-Abfragen nützliche Informationen zu gewinnen.

Nachdem Sie eine Abfrage ausgeführt haben, können die Abfrageergebnisse in einer Tabelle angezeigt oder in ein Diagramm konvertiert werden. Wenn Sie beispielsweise sehen möchten, welche Schweregradtypen Ihre Logs generieren, erstellen Sie ein Diagramm mit der Anzahl der Logs, die in den letzten 12 Stunden generiert wurden, und schlüsseln Sie die Logs nach severity auf. Der folgende Screenshot zeigt Datenpunkte, die in verschiedene Schweregrade unterteilt sind:

Beispieldiagramm, das eine Aufschlüsselung nach Schweregrad veranschaulicht.

Hinweise

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Projekt zu gewähren, damit Sie die Berechtigungen erhalten, die Sie zum Ausführen von Abfragen, Aufrufen von Logs und Erstellen von Diagrammen benötigen:
- So fragen Sie die Log-Buckets _Required und _Default ab: Loganzeige (roles/logging.viewer)
- So fragen Sie benutzerdefinierte Log-Buckets ab: Zugriffsfunktion für die Logansicht (roles/logging.viewAccessor)
- (Optional) So speichern Sie Diagramme in Dashboards: Monitoring-Editor (roles/monitoring.editor)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Rufen Sie für die abzufragenden Logansichten die Seite Logspeicher auf und prüfen Sie, ob die Log-Buckets, in denen diese Logansichten gespeichert werden, für die Verwendung von Loganalysen aktualisiert wurden. Führen Sie bei Bedarf ein Upgrade des Log-Buckets durch.

Rufen Sie in der Google Cloud Console die Seite Logspeicher auf:
Zum Log-Speicher

Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
Optional: Wenn Sie Ihre Logdaten mithilfe eines BigQuery-Datasets abfragen möchten, erstellen Sie ein verknüpftes BigQuery-Dataset.

Daten für das Diagramm auswählen

Erstellen Sie mit SQL eine Abfrage, um zu konfigurieren, welche Daten in einem Diagramm angezeigt werden sollen. Wenn Sie den Tab Diagramm auswählen, erstellt Logging automatisch ein Diagramm auf der Grundlage Ihrer Abfrageergebnisse. Nachdem die Abfrage ausgeführt und ein Diagramm generiert wurde, können Sie die Diagrammkonfiguration anpassen, indem Sie den Diagrammtyp ändern und Spalten auswählen, um andere Daten anzuzeigen.

Wenn Sie die Abfrageergebnisse als Diagramm ansehen möchten, führen Sie so eine Abfrage aus:

Rufen Sie in der Google Cloud Console die Seite Loganalysen auf:
Zu Loganalysen

Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
Geben Sie im Bereich Abfrage eine Abfrage ein und klicken Sie dann auf Ausführen.
Nachdem die Abfrage abgeschlossen ist, wählen Sie auf dem Tab Ergebnisse aus, wie die Abfrageergebnisse angezeigt werden sollen:
- Tabelle: Es werden nur die Abfrageergebnisse angezeigt.
- Diagramm: zeigt nur ein Diagramm der Abfrageergebnisse an.
- Beides: Hier sehen Sie eine Tabelle und ein Diagramm nebeneinander.
Wenn Sie den Tab Diagramm oder Beide ausgewählt haben, können Sie die Diagrammkonfiguration anpassen, indem Sie den Diagrammtyp ändern und anpassen, welche Zeilen und Spalten im Diagramm dargestellt werden. Weitere Informationen zur Diagrammkonfiguration finden Sie unter Diagrammkonfiguration anpassen.

Diagrammkonfiguration anpassen

Sie können die Diagrammkonfiguration anpassen, indem Sie den Diagrammtyp ändern, die Dimension und den Messwert für das Diagramm auswählen oder eine Aufschlüsselung anwenden. Die Dimension wird zum Gruppieren oder Kategorisieren von Zeilen verwendet und ist der Wert für die X-Achse. Der Measure oder der Wert der Y-Achse ist eine Datenreihe, die über der Y-Achse abgebildet wird.

Diagrammtyp ändern

Sie können einen der folgenden Diagrammtypen auswählen, je nachdem, welche Art von Zeilen und Spalten Sie als Dimension und Messwert ausgewählt haben und wie diese Daten visualisiert werden sollen.

Balkendiagramm (Standard)

In Balkendiagrammen werden Daten auf zwei Achsen dargestellt. Wenn in Ihrem Diagramm eine Kategorie oder ein String als Dimension verwendet wird, können Sie die Diagrammkonfiguration für ein Balkendiagramm auf horizontal oder vertikal einstellen, wobei die Dimensions- und Messwertachsen vertauscht werden.
Liniendiagramm

Mit Liniendiagrammen können Sie Datenänderungen im Zeitverlauf darstellen. Wenn Sie ein Liniendiagramm verwenden, wird jede Zeitachse durch eine andere Linie dargestellt, die den von Ihnen ausgewählten Messwerten entspricht.

Wenn Ihre X-Achse zeitbasiert ist, wird jeder Datenpunkt am Anfang eines Zeitintervalls platziert. Jeder Datenpunkt ist durch lineare Interpolation verbunden.
Flächendiagramm Ein Flächendiagramm basiert auf einem Liniendiagramm und der Bereich unter jeder Linie ist schattiert. In Flächendiagrammen sind die Datenreihen gestapelt. Wenn Sie beispielsweise zwei identische Reihen haben, überschneidet sich die Reihe in einem Liniendiagramm, während der schattierte Bereich in einem Flächendiagramm gestapelt ist.
Kreisdiagramm

Ein Kreisdiagramm zeigt, wie sich die Kategorien in einem Dataset auf das gesamte Dataset beziehen. Dabei wird ein Kreis verwendet, um das gesamte Dataset darzustellen, und die Keilen im Kreis, um die Kategorien im Dataset darzustellen. Die Größe eines Keils gibt an, wie viel die Kategorie (häufig in Prozent) zum Ganzen beiträgt.
Messgerätanzeigen und Kurzübersichten

Tachometer und Kurzübersichten zeigen die letzte Messung im Vergleich zu einer farbcodierten Reihe von Schwellenwerten. Die Tachometer zeigen nur die letzte Messung an, während die Kurzübersichten auch den Verlauf der letzten Messungen enthalten. Diese Widgets sind farblich gekennzeichnet. Liegt der neueste Wert in den erwarteten Bereichen, werden die Daten in Grün angezeigt. Wenn sich der Wert in einem Warnbereich befindet, werden die Daten gelb dargestellt. Befindet sich der Wert in einem Gefahrenbereich, wird rot angezeigt.

Sie können keine Aufschlüsselung angeben, wenn Sie Abfrageergebnisse mithilfe eines Tachometers oder einer Kurzübersicht anzeigen lassen.

Dimension und Messung ändern

Sie können festlegen, welche Zeilen und Spalten im Diagramm dargestellt werden, indem Sie die Dimensions- und Messwertfelder auswählen.

Dimension

Die Dimension muss eine Zeitstempel-, numerische oder String-Spalte sein. Standardmäßig ist die Dimension auf die erste zeitstempelbasierte Spalte im Schema festgelegt. Wenn die Abfrage keinen Zeitstempel enthält, wird die erste Stringspalte als Dimension ausgewählt. Sie können die Dimension auch im Bereich Diagrammanzeige anpassen. Wenn eine Zeitstempelspalte als Dimension ausgewählt ist, zeigt das Diagramm, wie sich die Daten im Laufe der Zeit ändern.

Standardmäßig wird das Intervall für Zeitstempel automatisch festgelegt. Sie können jedoch auch ein benutzerdefiniertes Intervall auswählen. Bei automatischen Intervallen werden die Werte anhand der Zeitraumauswahl geändert, um Gruppen ähnlicher Größe beizubehalten.

Sie können das Intervall auch deaktivieren, um eigene Aggregationen und Zeiträume innerhalb der Abfrage anzugeben, um komplexere Analysen durchzuführen. Wenn Sie das Intervall deaktivieren, wird die Aggregationsfunktion der Messwerte auf none festgelegt. Wenn das Dimensionsintervall deaktiviert ist, sind nur numerische Messungen zulässig.

Hinweis: Nur die Spalte TIMESTAMP kann als Zeitstempeldimension verwendet werden. Zur Verwendung von DATE und DATETIME müssen Sie die Funktion CAST() verwenden, um die Datentypen in TIMESTAMP zu konvertieren.
Messung

Im Steuerfeld Diagrammanzeige können Sie mehrere Messwerte auswählen. Wenn Sie eine Messung auswählen, müssen Sie auch die Aggregationsfunktion auswählen, die für die gruppierten Werte ausgeführt werden soll, z. B. count, sum, average und percentile-99. Beispielsweise gibt count-distinct die Anzahl der eindeutigen Werte in einer bestimmten Spalte zurück.

Wenn Sie für die Dimension das Kästchen Intervall deaktivieren anklicken, ist die Aggregationsfunktionsoption none verfügbar. Wenn die Dimension ein Stringwert ist, wird das Kästchen Intervall deaktivieren nicht angezeigt. Wenn Sie die Aggregationsfunktionen einer Messung auf none festlegen, wird das Intervall jedoch auch deaktiviert.

Aufschlüsselung hinzufügen

Wenn Sie eine einzelne Datenreihe anhand einer anderen Spalte in mehrere Datenreihen aufteilen möchten, fügen Sie eine Aufschlüsselung hinzu.

Wählen Sie für eine Aufschlüsselung Spalten mit einer kleinen Anzahl kurzer und aussagekräftiger Labels wie region_name anstelle von Feldern mit einer großen Anzahl von Strings oder langen Strings wie textPayload aus.

In der folgenden Diagrammkonfiguration ist das Feld Dimension auf type, das Feld Measure auf Count rows und das Feld Breakdown auf severity gesetzt:

Beispiel für eine Diagrammkonfiguration mit einer Aufschlüsselung.

Das folgende Diagramm ist ein Beispiel für ein Diagramm mit einer zusätzlichen Aufschlüsselung:

Beispieldiagramm mit einer Aufschlüsselung nach Schweregrad.

Im vorherigen Screenshot sehen Sie eine gestapelte Datenreihe, bei der der Ressourcentyp k8s_container in verschiedene severity-Typen unterteilt ist. So können Sie ermitteln, wie viele Logs jedes Schweregradtyps von einer bestimmten Ressource generiert wurden.

Diagramm in einem benutzerdefinierten Dashboard speichern

Nachdem ein Diagramm anhand Ihrer Abfrage generiert wurde, können Sie dieses Diagramm in einem benutzerdefinierten Dashboard speichern. Mit benutzerdefinierten Dashboards können Sie nützliche Informationen mithilfe verschiedener Widgettypen anzeigen und organisieren. Sie können beispielsweise ein Dashboard mit Details zur Nutzung Ihrer Cloud Storage-Buckets erstellen:

Beispieldashboard mit der Nutzung Ihrer Cloud Storage-Buckets.

So speichern Sie Ihr Diagramm in einem Dashboard:

Rufen Sie in der Google Cloud Console die Seite Loganalysen auf:
Zu Loganalysen

Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
Führen Sie eine Abfrage aus, um ein Diagramm zu generieren, und klicken Sie dann auf dem Tab Diagramm auf Diagramm speichern.
Geben Sie im Dialogfeld Im Dashboard speichern einen Titel für das Diagramm ein und wählen Sie das Dashboard aus, in dem das Diagramm gespeichert werden soll.
Optional: Klicken Sie im Toast auf Dashboard ansehen, um das benutzerdefinierte Dashboard aufzurufen.

Wenn Sie eine Liste der benutzerdefinierten Dashboards aufrufen möchten, die Diagramme enthalten, die durch Loganalysen-SQL-Abfragen generiert wurden, klicken Sie auf die Schaltfläche Diagramm speichern und dann auf das Menüsymbol .

In einem benutzerdefinierten Dashboard gespeichertes Diagramm bearbeiten

Informationen zum Bearbeiten von Diagrammen, die von Log Analytics-SQL-Abfragen generiert und in einem Dashboard gespeichert werden, finden Sie unter Konfiguration eines Widgets ändern. Im Dialogfeld Widget konfigurieren können Sie die Abfrage bearbeiten, die zum Generieren eines Diagramms verwendet wird, oder die Diagrammkonfiguration anpassen, um andere Daten zu visualisieren.

Beschränkungen

Wenn sich Ihr Google Cloud-Projekt in einem Ordner befindet, der Assured Workloads verwendet, können die von Ihnen generierten Diagramme nicht in einem benutzerdefinierten Dashboard angezeigt werden.
Filter auf Dashboardebene gelten nicht für Diagramme, die aus einer Loganalyse-SQL-Abfrage generiert wurden.

Beispielabfragen

Dieser Abschnitt enthält Beispiel-SQL-Abfragen, mit denen Sie Ihre Abfrageergebnisse in einem Diagramm darstellen können. Passen Sie die Diagrammkonfiguration an, um nützlichere Informationen aus Ihren Logs zu erhalten. So verwenden Sie die Beispielabfragen:

Rufen Sie in der Google Cloud Console die Seite Loganalysen auf:
Zu Loganalysen

Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
Ermitteln Sie den Tabellennamen für eine Logansicht, indem Sie die Standardabfrage ausführen:

Suchen Sie in der Liste Logansichten die Logansicht und wählen Sie Abfrage aus. Der Bereich Abfrage wird mit einer Standardabfrage gefüllt, die den Namen der abgefragten Tabelle enthält. Der Tabellenname hat das Format project_ID.region.bucket_ID.view_ID.

Weitere Informationen zum Zugriff auf die Standardabfrage finden Sie unter Logansicht abfragen.
Ersetzen Sie TABLE durch den Namen der Tabelle, die der Ansicht entspricht, die Sie abfragen möchten, und kopieren Sie dann die Abfrage.
Fügen Sie die Abfrage in den Bereich Abfrage ein und klicken Sie auf Abfrage ausführen.

Log-Einträge nach Speicherort und Schweregrad in einem Diagramm darstellen

Mit der folgenden Abfrage werden location und severity ausgewählt, wobei der Standort in einen String umgewandelt wird:

SELECT
  CAST(JSON_VALUE(resource.labels.location) AS STRING) AS location,
  severity,
FROM
  `TABLE`

Hier ein Beispiel für eine Diagramm- und Diagrammkonfiguration:

Beispieldiagramm mit Logeinträgen nach Ort und Schweregrad.

Im vorherigen Screenshot hat die Diagrammkonfiguration die folgende Diagrammkonfiguration:

Diagrammtyp: Balkendiagramm, horizontal
Dimension: location, mit einem Limit von 10
Messen: Anzahl der Zeilen
Aufschlüsselung: severity, maximal fünf

Audit-Logs zum BigQuery-Datenzugriff in Diagrammen darstellen

Die folgenden Abfrage filtert nach BigQuery-data_access-Audit-Logs und wählt bestimmte Felder aus, z. B. user_email, ip, auth_permission und job_execution_project. Sie können beispielsweise ein Diagramm erstellen, in dem die Häufigkeit der BigQuery API-Nutzung jedes Hauptkontos im Zeitverlauf visualisiert wird.

SELECT 
  timestamp,
  proto_payload.audit_log.authentication_info.principal_email as user_email,
  proto_payload.audit_log.request_metadata.caller_ip as ip,
  auth.permission as auth_permission,
  auth.granted as auth_granted,
  JSON_VALUE(data_access.resource.labels.project_id) AS job_execution_project,
  SPLIT(proto_payload.audit_log.resource_name, '/')[SAFE_OFFSET(1)] AS referenced_project,
  SPLIT(proto_payload.audit_log.resource_name, '/')[SAFE_OFFSET(3)] AS referenced_dataset,
  SPLIT(proto_payload.audit_log.resource_name, '/')[SAFE_OFFSET(5)] AS referenced_table
FROM `TABLE` as data_access,
  UNNEST(proto_payload.audit_log.authorization_info) AS auth
WHERE
  log_id="cloudaudit.googleapis.com/data_access"
  AND data_access.resource.type = 'bigquery_dataset'

Hier ein Beispiel für eine Diagramm- und Diagrammkonfiguration:

Beispieldiagramm für Audit-Logs zum Datenzugriff in BigQuery

Im vorherigen Screenshot hat die Diagrammkonfiguration die folgende Diagrammkonfiguration:

Diagrammtyp: Balkendiagramm, vertikal
Dimension: user_email, mit einem Limit von fünf
Messen: Anzahl der Zeilen
Aufschlüsselung: auth_permission, maximal fünf

Beschränkungen

Die ausgewählten Spalten müssen mindestens eine Zeile mit einem Wert ungleich null enthalten.
Wenn Sie eine Abfrage speichern und die Diagrammkonfiguration anpassen, wird die Konfiguration des benutzerdefinierten Diagramms nicht gespeichert.
Wenn Ihre Abfrage bereits Aggregationen enthält, kann sich das generierte Diagramm aufgrund einer zusätzlichen Aggregation, die von Loganalysen automatisch angewendet wird, anders darstellen.
JSON-Pfade müssen in Strings und Zahlen umgewandelt werden, um im Diagramm dargestellt zu werden.

Nächste Schritte

Eine Übersicht über Loganalysen finden Sie unter Loganalysen.
Beispielabfragen finden Sie unter Beispiel-SQL-Abfragen.
Informationen zum Analysieren mithilfe von Audit-Logs mithilfe von Loganalysen finden Sie unter SQL-Abfragen für Sicherheitsinformationen.